BSI Technische Richtlinie 03138 Ersetzendes Scannen - Bezeichnung: Ersetzendes Scannen (RESISCAN) Anwendungshinweis A - Ergebnis der Risikoanalyse ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
BSI Technische Richtlinie 03138
Ersetzendes Scannen
Bezeichnung: Ersetzendes Scannen (RESISCAN)
Anwendungshinweis A – Ergebnis der Risikoanalyse
Kürzel: BSI TR-03138-A
Version: 1.3
Datum: 09.09.2021Änderungshistorie
Version Datum Name Beschreibung
1.2 15.06.2018 BSI LibreOffice Writer
1.3 09.09.2021 BSI Umstellung auf MS
Word,
Aktualisierung auf IT-
Grundschutz-
Kompendium Edition
2021
Tabelle 1: Änderungshistorie
Bundesamt für Sicherheit in der Informationstechnik
Postfach 20 03 63
53133 Bonn
Tel.: +49 22899 9582-0
E-Mail: resiscan@bsi.bund.de
Internet: https://www.bsi.bund.de
© Bundesamt für Sicherheit in der Informationstechnik 2021Inhalt
Inhalt
Anwendungshinweis A – Ergebnis der Risikoanalyse (informativ)...................................................................................... 5
A.1 Strukturanalyse................................................................................................................................................................................... 6
A.1.1 Konventionen.............................................................................................................................................................................. 6
A.1.2 Datenobjekte................................................................................................................................................................................ 6
A.1.3 IT-Systeme und Anwendungen........................................................................................................................................... 7
A.1.4 Der „generische Scanprozess“............................................................................................................................................... 9
A.1.4.1 Eingang des Dokumentes............................................................................................................................................. 10
A.1.4.2 Dokumentenvorbereitung .......................................................................................................................................... 10
A.1.4.3 Scannen ............................................................................................................................................................................... 10
A.1.4.4 Nachbearbeitung ............................................................................................................................................................. 10
A.1.4.5 Integritätssicherung ....................................................................................................................................................... 11
A.1.4.6 Geeignete Aufbewahrung ............................................................................................................................................ 11
A.1.4.7 Vernichtung des Originals ........................................................................................................................................... 11
A.1.5 Kommunikationsverbindungen........................................................................................................................................ 12
A.1.6 Informationsfluss der Datenobjekte................................................................................................................................ 13
A.2 Schutzbedarfsanalyse ..................................................................................................................................................................... 15
A.2.1 Überblick ..................................................................................................................................................................................... 15
A.2.2 Definition der Schutzbedarfskategorien und Sicherheitsziele ............................................................................. 15
A.2.3 Fachliche Schutzbedarfsanalyse ........................................................................................................................................ 17
A.2.4 Schutzbedarf der Datenobjekte ......................................................................................................................................... 17
A.2.4.1 Schutzbedarf des Originals .......................................................................................................................................... 17
A.2.4.2 Schutzbedarf des Scanproduktes .............................................................................................................................. 18
A.2.4.3 Schutzbedarf der Index- und Metadaten............................................................................................................... 19
A.2.4.4 Schutzbedarf des Transfervermerkes...................................................................................................................... 19
A.2.4.5 Schutzbedarf der Sicherungsdaten .......................................................................................................................... 20
A.2.4.6 Schutzbedarf der Protokolldaten.............................................................................................................................. 21
A.2.5 Schutzbedarf der IT-Systeme und Anwendungen .................................................................................................... 22
A.2.6 Schutzbedarf der Kommunikationsverbindungen ................................................................................................... 22
A.3 Bedrohungsanalyse ......................................................................................................................................................................... 23
A.3.1 Gefährdungen in der Dokumentenvorbereitung ...................................................................................................... 23
A.3.2 Gefährdungen beim Scannen ............................................................................................................................................. 24
A.3.3 Gefährdungen bei der Nachbearbeitung ....................................................................................................................... 26
A.3.4 Gefährdungen bei der Integritätssicherung ................................................................................................................. 27
A.4 Sicherheitsmaßnahmen ................................................................................................................................................................ 29
A.4.1 Allgemeine Sicherheitsmaßnahmen ............................................................................................................................... 29
A.4.2 Sicherheitsmaßnahmen bei der Dokumentenvorbereitung ................................................................................. 33
Bundesamt für Sicherheit in der Informationstechnik 3Inhalt
A.4.3 Sicherheitsmaßnahmen beim Scannen ......................................................................................................................... 36
A.4.4 Sicherheitsmaßnahmen bei der Nachbearbeitung .................................................................................................... 43
A.4.5 Sicherheitsmaßnahmen bei der Integritätssicherung.............................................................................................. 46
Literaturverzeichnis ............................................................................................................................................................................... 50
4 Bundesamt für Sicherheit in der InformationstechnikAnwendungshinweis A – Ergebnis der Risikoanalyse (informativ) Anwendungshinweis A – Ergebnis der Risikoanalyse (informativ) Dieser Anwendungshinweis enthält das Ergebnis der Risikoanalyse, die im Zuge der Entwicklung der BSI TR-03138 durchgeführt wurde. Hierbei wurde aus der Praxis ein „typisches Scansystem“ abstrahiert und der in Abbildung 1 des Hauptdokumentes dargestellte „generische Scanprozess“ zu Grunde gelegt. 5 Bundesamt für Sicherheit in der Informationstechnik
A.1 Strukturanalyse
A.1 Strukturanalyse
A.1.1 Konventionen
Für die Benennung der relevanten Objekte werden die folgenden Konventionen verwendet:
• Dxy - bezeichnet ein Datenobjekt (siehe Abschnitt A.1.2)
• Sxy - bezeichnet ein IT-System (siehe Abschnitt A.1.3)
• Axy - bezeichnet eine Anwendung (siehe Abschnitt A.1.3), die auf einem IT-System läuft
• Kxy - bezeichnet eine Kommunikationsverbindung zwischen zwei IT-Systemen oder
Anwendungen (siehe Abschnitt A.1.5)
Anders als sonst bei der Anwendung der IT-Grundschutz-Vorgehensweise üblich, wird hier auf die explizite
Modellierung der involvierten Räumlichkeiten verzichtet. Statt dessen wird vorausgesetzt, dass geeignete
Räumlichkeiten existieren, in denen ein geeigneter Zutrittskontrollmechanismus realisiert ist, so dass das
Schriftgut sicher aufbewahrt werden kann und die relevanten IT-Systeme vor unbefugtem physikalischen
Zugriff geschützt sind (vgl. BM 2.3).
A.1.2 Datenobjekte
Die nachfolgende Tabelle enthält die für das beweiskräftige und in diesem Sinne rechtssichere ersetzende
Scannen relevanten Datenobjekte.
ID Datenobjekt Beschreibung
D0 Schriftgut aus dem Schriftgut, das per Post o. ä. eingegangen ist.
Posteingang
D1 Scanrelevantes Papierdokument, das durch geeignete Vorbereitungsschritte (z. B. durch
Original Entfernung des Kuverts 1, Umkopieren, Entklammern etc.) aus dem
eingegangenen Schriftgut (D0) gewonnen und dem Scanprozess
zugeführt wird.
D2 Scanprodukt Elektronisches Abbild des Papierdokumentes (D1). Dieses wird durch den
Scanner erzeugt und ggf. von der Scansoftware nachbearbeitet.
D3 Index- und Metadaten Daten, die das Auffinden und die Nutzung des später abgelegten
Scanproduktes ermöglichen bzw. erleichtern. Durch die hier manuell
oder automatisch durch eine Formularerkennungs-Software erfassten
und ggf. im Rahmen der Sachbearbeitung überprüften oder ergänzten
Index- und Metadaten wird die eindeutige Zuordnung von Dokumenten
zu einem Geschäftsvorfall sichergestellt, wodurch ein wesentliches
Element der Ordnungsmäßigkeit gegeben ist.
D4 Transfervermerk 2 Mit dem Transfervermerk wird dokumentiert, wann und durch wen die
Übertragung des Papierdokumentes in ein elektronisches Dokument
stattgefunden hat.
1
Sofern das Kuvert relevante Inhalte umfasst und deshalb dem Scanprozess zugeführt wird, ist das
Kuvert als ein Teil des „Scanrelevanten Originals“ zu betrachten.
2
Form und Inhalt des Transfervermerks sind abhängig von den anwendbaren rechtlichen
Rahmenbedingungen. Der Transfervermerk kann im Scanprodukt, zusammen mit dem Scanprodukt in
einer Akte oder in den Metadaten abgelegt werden. Die Integrität und Authentizität des
6 Bundesamt für Sicherheit in der InformationstechnikA.1 Strukturanalyse
ID Datenobjekt Beschreibung
D5 Sicherungsdaten Sicherungsdaten sind Datenobjekte 3, die dem Schutz der Integrität und
ggf. Authentizität anderer Datenobjekte dienen.
D6 Protokolldaten Die Protokolldaten dokumentieren zusätzliche sicherheitsrelevante
Abläufe und Ereignisse. Sie unterstützen somit die Nachvollziehbarkeit
der Abläufe und den Nachweis der Ordnungsmäßigkeit des
Scanprozesses.
Tabelle 1: Liste der Datenobjekte
A.1.3 IT-Systeme und Anwendungen
Betrachtet man die verschiedenen in der Praxis genutzten Scansysteme, so erhält man durch Abstraktion
das in Abbildung 3 dargestellte „typische Scansystem“, das im Folgenden näher erläutert und der hier
vorliegenden Risikoanalyse zu Grunde gelegt wird.
Abbildung 1: Das "typische Scansystem"
Transfervermerks kann mit einer elektronischen Signatur geschützt werden. Rechtliche Betrachtungen
zum Transfervermerk finden sich auch in [BSI-TR03138-R].
3
Hierbei kann es sich beispielsweise um Signaturen, Zertifikate, Zeitstempel, Message Authentication
Codes, CRC-Prüfsummen etc. handeln.
Bundesamt für Sicherheit in der Informationstechnik 7A.1 Strukturanalyse
ID IT-System Beschreibung
S1 Scanner Scanner für die Erzeugung eines Scanproduktes (D2) aus dem
scanrelevanten Papierdokument (D1). Dieser Scanner kann lokal (z. B.
über USB) oder über ein Netzwerk an die Scan-Workstation (S2)
angeschlossen sein.
S2 Scan-Workstation Bildet die Ablaufumgebung für die Anwendungen (A1) – (A4) und
produziert ggf. Protokolldaten (D6). In der Praxis kann die hier
betrachtete „Scan-Workstation“ auch durch mehrere Rechnersysteme
realisiert sein, auf denen die nachfolgend betrachteten Anwendungen
in verteilter Form ablaufen.
A1 Client Hierbei kann es sich um einen ECM-, DMS- oder VBS-Client handeln,
in den ggf. die Anwendungen (A2) – (A4) integriert sind.
A2 Scan-Software Softwarekomponente, die mit dem Scanner (S1) kommuniziert, um
den technischen Erfassungsprozess zu steuern. Diese Komponente
führt ggf. auch die Nachbearbeitung zur Qualitätsverbesserung durch
und erzeugt bei Bedarf den Transfervermerk (D4).
A3 Index-Software Softwarekomponente für die automatische (z. B. durch OCR) oder
manuelle Bereitstellung von zum Scanprodukt (D2) gehörigen Index-
und Metadaten (D3). Diese Index-Software kann wie hier dargestellt
auf der Scan-Workstation, einem eigenständigen Indexier-
Arbeitsplatz oder innerhalb einer entsprechenden Fachanwendung
betrieben werden.
A4 Integritätssicher- Erzeugt in Zusammenarbeit mit der Integritätssicherungshardware
ungs-Software (S4) geeignete Sicherungsdaten 4 (D5) für den Schutz der Integrität und
(IS-SW) ggf. Authentizität des Scanproduktes (D2) und ggf. der weiteren
zugehörigen Daten.
S3 Scan-Cache Dient zur Ablage des Scanproduktes (D2). Dieser Zwischen-speicher
kann ggf. Teil von (S1), (S2) oder einem dritten System sein.
Entsprechend kann der Zugriff auf den Scan-Cache beispielsweise
über lokale Speichermechanismen oder über das Netz erfolgen.
S4 Integritätssicherungs- Dient insbesondere der Speicherung und Anwendung von
Hardware (IS-HW) kryptographischem Schlüsselmaterial und wird von der
Integritätssicherungssoftware (A4) für die Erzeugung von geeigneten
Sicherungsdaten genutzt. Hierbei kann es sich beispielsweise um eine
qualifizierte Signatur- oder Siegelerstellungseinheit gemäß [eIDAS-
VO] handeln. Die IS-HW kann lokal an der Scan-Workstation
angeschlossen sein oder über entsprechend gesicherte
Netzwerkverbindungen genutzt werden.
4
Alternativ zur Verwendung von „Sicherungsdaten“ kann die Integrität von Daten auch durch die Ablage
derselben in einem geeigneten „Sicherungssystem“ erfolgen, das die dort abgelegten Daten
beispielsweise durch entsprechende Zugriffskontrollmechanismen vor unberechtigten Zugriffen
schützt. In diesem Fall können sowohl die Integritätssicherungs-Software (IS-SW) als auch die
Integritätssicherungs-Hardware (IS-HW) durch ein geeignetes Sicherungssystem ersetzt werden.
Allerdings ist in diesem Fall zu bedenken, dass die Verkehrsfähigkeit der darin abgelegten Daten
möglicherweise stark eingeschränkt sein könnte, so dass die vollständige Substitution der
Sicherungsdaten durch Sicherungssysteme wohlüberlegt sein sollte.
8 Bundesamt für Sicherheit in der InformationstechnikA.1 Strukturanalyse
ID IT-System Beschreibung
S5 Server Hierbei kann es sich um ein oder mehrere ECM-, DMS- oder
Archivsysteme bzw. Fachverfahren handeln, in dem die Scanprodukte
(D2) sowie die zusätzlichen Daten (Index- und Metadaten (D3),
Transfervermerk (D4), Sicherungsdaten (D5) und Protokolldaten (D6))
zwischengespeichert oder über den Aufbewahrungszeitraum
beweiskräftig aufbewahrt werden (vgl. z. B. [BSI-TR03125] ). Die
langfristige Aufbewahrung dieser Daten und die Realisierung dieses
Server-Systems ist nicht Gegenstand der vorliegenden Technischen
Richtlinie.
S6 IS-Infrastruktur Infrastruktur-Dienste, die die Integritätssicherung unterstützen und
bei Bedarf - d. h. sofern elektronische Signaturen oder Siegel
eingesetzt werden - Zertifikate, Zertifikatstatusinformationen und
Zeitstempel bereitstellen. Diese Dienste können beispielsweise von
einem Vertrauensdiensteanbieter gemäß [eIDAS-VO] bereitgestellt
werden. Auch die Ausgestaltung der IS-Infrastruktur ist nicht
Gegenstand der vorliegenden Technischen Richtlinie.
Tabelle 2: Liste der IT-Systeme und Anwendungen
A.1.4 Der „generische Scanprozess“
Betrachtet man die typischen Abläufe im „generischen Scanprozess“ (siehe Abbildung 1 im
Hauptdokument) näher unter Berücksichtigung der Zeit 5, so ergibt sich der in Abbildung 2 dargestellte
Ablauf, wobei Px die verschiedenen Phasen des Scanprozesses bezeichnet.
Abbildung 2: Zeitliche Betrachtung zum "generischen Scanprozess"
5
Die Eintrittswahrscheinlichkeit eines Angriffes und dadurch das entsprechende Risiko ist im Regelfall
auch abhängig vom Zeitfenster, das einem potenziellen Angreifer zur Verfügung steht. Diese
unterschiedliche Risikoexposition ist in Abbildung 2 mit den Farben grün, gelb und rot dargestellt.
Bundesamt für Sicherheit in der Informationstechnik 9A.1 Strukturanalyse
A.1.4.1 Eingang des Dokumentes
In dieser ersten Phase (P0) wird das Schriftgut zum Zeitpunkt t0 empfangen. Wie in Abbildung 1 des
Hauptdokumentes dargestellt, sind die detaillierten Abläufe hierbei nicht Gegenstand der vorliegenden TR.
A.1.4.2 Dokumentenvorbereitung
Die Phase der Dokumentenvorbereitung umfasst im Regelfall die folgenden beiden Schritte:
• P1.1 - Trennung Scan-relevantes und nicht-Scan-relevantes Schriftgut
In diesem ersten Schritt werden Kuverts geöffnet und das eingegangene Schriftgut (D0) von irrelevantem
Beiwerk (z. B. Werbung) getrennt. t1 liegt typischerweise um Minuten oder Stunden nach t0.
• P1.2 - Vorbereitung Scan-relevantes Schriftgut
In dieser Phase werden bei Bedarf existierende Klammern oder Heftungen entfernt und es erfolgt
insbesondere die Dokumenttrennung (ggf. unter Verwendung von Barcodes oder Patchcodes). Abhängig
von den konkreten organisatorischen Abläufen kann dieser Schritt im Detail zahlreiche und sehr
umfangreiche Schritte umfassen, die die Zusammensetzung und die physikalische Repräsentanz des
Schriftguts ändern können. Beispielsweise kann sich das eingegangene Schriftgut (D0) durch Umkopieren 6,
Ausschneiden, Reihenfolge ändern bei Wickelfalz etc. vom scan-relevanten Schriftgut (D1) unterscheiden.
Beim „frühen Scannen“ 7 liegt der Zeitpunkt t2 um Minuten oder Stunden nach t1. Beim „späten Scannen“ 8
können zwischen t1 und t2 unter Umständen jedoch mehrere Monate vergehen.
A.1.4.3 Scannen
In dieser Phase (P2) wird durch Zusammenwirken der Scan-Software (A2) mit dem Scanner (S1) aus dem
Original Papierdokument (D1) das Scanprodukt (D2) erzeugt und in einem geeigneten Zwischenspeicher
(„Scan-Cache“, (S3)) abgelegt. Abhängig von der technischen Ausprägung des Scansystems kann dieser
Schritt auch implizit erste Maßnahmen zur Qualitätsverbesserung und Bildoptimierung umfassen. Beim so
genannten „frühen Scannen“ liegt der Zeitpunkt t3 um Minuten bis Tage nach t1. Beim so genannten
„späten Scannen“ vergehen zwischen t0 und t3 aber möglicherweise Wochen und Monate, weil Dokumente
nun erst in der Sachbearbeitung verbleiben, bis alle Dokumente eines Vorganges komplett vorhanden sind
oder die Sachbearbeitung abgeschlossen ist und dann gescannt werden können.
A.1.4.4 Nachbearbeitung
Die Phase der Nachbearbeitung umfasst unter Umständen die folgenden beiden Schritte:
• P3.1 - Bildoptimierung und Indexierung
In diesem Schritt kann bei Bedarf zum Zeitpunkt t4 durch die Scan-Software (A2) eine Nachbearbeitung des
Scanproduktes zur Qualitätsverbesserung vorgenommen werden. Dies kann beispielsweise eine
Bildoptimierung, Kontrastverbesserung, Leerseitenlöschung oder Maßnahmen für das „Entrauschen“
umfassen. Außerdem können nun oder später in Verbindung mit der Index-Software (A3), in
automatisierter (z. B. mittels OCR) oder manueller Weise, entsprechende Index- und Metadaten (D3)
bereitgestellt und ggf. in das Scanprodukt (D2) integriert werden. Soweit notwendig und sinnvoll können
die Metadaten auch Informationen über den Ort, der bis zur Vernichtung strukturiert abgelegten Originale
enthalten. Für die Bildverbesserung liegt t4 im Bereich von Sekunden bis Minuten nach t3. Für die
6
Beim Umkopieren erfolgt selbst eine Transformation, bei der die verschiedenen beim Scannen und der
Nachbereitung aufgeführten Gefährdungen und Maßnahmen (siehe Abschnitte A.3.2, A.3.3, A.4.4 und
A.4.3) zu berücksichtigen sind.
7
Beim „frühen Scannen“ erfolgt das Scannen vor der Sachbearbeitung.
8
Beim „späten Scannen“ erfolgt das Scannen nach der Sachbearbeitung.
10 Bundesamt für Sicherheit in der InformationstechnikA.1 Strukturanalyse
Indexierung kann der Zeitverzug größer sein; durch entsprechende Fehlersituationen (z. B. nicht
zuordenbare Barcodes) kann sich der Zeitraum zwischen t3 und t4 auf mehrere Tage erstrecken.
• P3.2 - Qualitätskontrolle, Protokollierung und Transfervermerk
In diesem Schritt erfolgt typischerweise eine Qualitätskontrolle, die eine Nachjustierung der Scan-
Parameter oder eine erneute Erfassung des Schriftguts nach sich ziehen kann. Außerdem können während
des Scannens und der Nachbearbeitung bei Bedarf sicherheitsrelevante Ereignisse dokumentiert und
entsprechende Protokolldaten (D6) erzeugt werden. Schließlich kann ein Transfervermerk (D4) erzeugt
werden, welcher dokumentiert, wann (Zeitpunkt t3) und durch wen die Transformation des
Papierdokumentes zum Scanprodukt stattgefunden hat. Der Zeitpunkt t5 kann im Bereich von Sekunden
oder Minuten nach t4 liegen, aber durch die vorherigen Zeiträume können seit dem ursprünglichen
Eingang des Originals bereits Stunden, Tage, Wochen oder sogar Monate vergangen sein.
A.1.4.5 Integritätssicherung
Sofern dies nicht bereits zu einem früheren Zeitpunkt (ab t3) geschehen ist, kann das Scanprodukt (D2) in
dieser Phase (P4) – ggf. einschließlich der Index- und Metadaten (D3), dem Transfervermerk (D4) und den
Protokolldaten (D6) – zum Zeitpunkt t6 mit einem geeigneten Integritätsschutz versehen werden. Hierfür
können explizit Sicherungsdaten (D5) – z. B. elektronische Signaturen oder Zeitstempel – erzeugt werden
oder die zu schützenden Daten können zur impliziten Integritätssicherung in einem entsprechenden
Sicherungssystem (S5) abgelegt werden. Mit den auf kryptographischen Mechanismen basierenden
Sicherungsdaten können Manipulationen in der Regel nicht verhindert, wohl aber erkannt werden
(„Prüfbarkeit“).
A.1.4.6 Geeignete Aufbewahrung
In dieser Phase (P5) wird das Scanprodukt (D2) samt der weiteren damit zusammenhängenden Daten (D3-
D6) zum Zeitpunkt t7 zur langfristigen Aufbewahrung an ein geeignetes Sicherungssystem (S5) übergeben.
Abhängig von Implementierungsdetails (z. B. synchrone oder asynchrone Abläufe) und der Anzahl der
verarbeiteten Dokumente können zwischen t6 und t7 Millisekunden bis Minuten vergehen. N Neben dem
Beweiswerterhalt können in einem solchen Ablagesystem auch Zugriffskontroll-Mechanismen realisiert
werden („Schutz + Prüfbarkeit“). Wie in Abbildung 1 dargestellt, ist die Beweiswert-erhaltende
Aufbewahrung aber nicht Gegenstand der vorliegenden Technischen Richtlinie, sondern in [BSI-TR03125]
geregelt.
A.1.4.7 Vernichtung des Originals
Schließlich kann das Original (D1) nach der zuverlässigen und entsprechend protokollierten Übergabe des
Scanprodukts (D2) und der damit zusammenhängenden Daten (D3-D6) an das Beweiswert-erhaltende
Aufbewahrungssystem und ggf. dem Ablauf einer bestimmten zusätzlichen Frist und einer entsprechenden
Protokollierung vernichtet werden, sofern die Voraussetzungen hierfür gegeben sind. 9
9
Die Voraussetzungen, ob das Original vernichtet werden darf, sind vom Anwender selbständig zu
prüfen. Für weiterführende Hinweise siehe [BSI-TR03138-R].
Bundesamt für Sicherheit in der Informationstechnik 11A.1 Strukturanalyse
A.1.5 Kommunikationsverbindungen
In Abbildung 3 sind die verschiedenen Kommunikationsverbindungen am Beispiel des „typischen
Scansystems“ aus Abbildung 3 dargestellt.
Abbildung 3: Wesentliche Kommunikationsverbindungen
ID Von Zu Beschreibung
K1 S1 A2 Umfasst die Schnittstelle zwischen der Scansoftware (A2) und dem Scanner (S1), die
beispielsweise gemäß [ISIS] , [TWAIN] oder [SANE] ausgeprägt sein kann.
Bei [TWAIN] stehen für die Datenübertragung vom Scanner (bzw. der zugehörigen
„Data Source Software“) zur Scansoftware („Application“) drei Übertragungsmodi zur
Verfügung 10 („Native“, „Disk File“, „Buffered Memory“, siehe [TWAIN]:
Bei „Native“ wird ein einzelner Speicherblock für die Übergabe der Bilddaten (bzw.
bei MacOS ein Verweis auf diese) genutzt.
Bei der „Disk File“ Variante, die nicht zwingend unterstützt werden muss, erzeugt die
Scansoftware eine Datei, deren Inhalt vom Scanner (z. B. 11 über die
Kommunikationsverbindung K2 12) geschrieben wird. Sobald die Erfassung komplett
erfolgt ist, signalisiert dies der Scanner der Scansoftware über eine
MSG_XFERREADY-Nachricht, worauf hin diese die weitere Verarbeitung übernimmt.
Bei der „Buffered Memory“-Variante erfolgt die Datenübergabe über mehrere
Speicherblöcke, die jeweils von der Scansoftware allokiert und vom Scanner
beschrieben werden.
10
Während die beiden Übertragungsmodi „Native“ und „Buffered Memory“ typischerweise bei lokal
angeschlossenen Scannern verwendet werden, wird die „Disk File“ Variante oft bei Netzwerk-fähigen
Scannern und Multifunktionsgeräten genutzt.
11
Alternativ könnte die Übertragung in diesem Fall über die Kommunikationsverbindungen K1 und K3
erfolgen, wobei die Scan-Workstation S2 als Kommunikationsproxy fungiert.
12
Alternativ könnte die Übertragung in diesem Fall über die Kommunikationsverbindungen K1 und K3
erfolgen, wobei die Scan-Workstation S2 als Kommunikationsproxy fungiert.
12 Bundesamt für Sicherheit in der InformationstechnikA.1 Strukturanalyse
ID Von Zu Beschreibung
Wichtig ist, dass in keiner der drei bei [TWAIN] vorgesehenen Varianten (ähnlich wie
bei anderen Scanner-Schnittstellen wie [ISIS] und [SANE] ) spezifische
Sicherheitsmechanismen für den Schutz der Vertraulichkeit, Integrität und
Authentizität der übertragenen Daten vorgesehen sind.
K2 S1 S3 Über diese Kommunikationsverbindung wird, beispielsweise bei der „Disk File“
Variante der [TWAIN]-Schnittstelle, das Scanprodukt (D2) vom Scanner zum Scan-
Cache übertragen.
K3 A2 S3 Über diese Schnittstelle wird von der Scansoftware (A2) auf den Scan-Cache (S3)
zugegriffen. Beispielsweise kann über diese Schnittstelle die Ablage des
Scanproduktes (D2) erfolgen.
K4 A3 S3 Über diese Kommunikationsverbindung werden beispielsweise die Index- und
Metadaten (D3) übertragen, um sie im Scan-Cache abzulegen.
K5 A4 S4 Über diese Schnittstelle kommuniziert die Integritätssicherungs-Software (A4) mit
der Integritätssicherungs-Hardware (S4), um die Erstellung von Sicherungsdaten (D5)
(z. B. von elektronischen Signaturen) zu erwirken.
K6 A4 S3 Über diese Kommunikationsverbindung kann die Integritätssicherungs-Software
(A4) auf die zu schützenden Daten (Scanprodukt, Metadaten etc.) zugreifen und
später die erstellten Sicherungsdaten (D5) wieder ablegen.
K7 A4 S6 Durch diese Kommunikationsverbindung kann die Integritätssicherungs-Software
(A4) mit einer möglicherweise vorhandenen Integritätssicherungsinfrastruktur (S6)
kommunizieren und beispielsweise einen Zeitstempel anfordern.
K8 A1 S3 Über diese Kommunikationsverbindung kann das Scanprodukt (D2) samt der
Metadaten (D3) und den Sicherungsdaten (D5) aus dem Scan-Cache (S3) ausgelesen
werden.
K9 A1 S5 Schließlich können die im Rahmen des Scanprozesses erzeugten und ggf.
entsprechend zwischengespeicherten Datenobjekte (Scanprodukt, Index- und
Metadaten, Transfervermerk, Sicherungsdaten, Protokolldaten) über diese
Schnittstelle in dem oder den Servern (S5) abgelegt werden.
Tabelle 3: Liste der Kommunikationsverbindungen
A.1.6 Informationsfluss der Datenobjekte
In der nachfolgenden Tabelle wurde die Präsenz der Datenobjekte (Dx) in den verschiedenen Systemen (Sy)
und der mögliche Informationsfluss über die jeweiligen Kommunikationsverbindungen (Kz)
zusammengetragen.
Datenobjekt System Kommunikationsverbindung
D1 S1 -
D2 S1, S2, S3 K1
K3
K2
K8
K9
D3 S2, S3 K4
Bundesamt für Sicherheit in der Informationstechnik 13A.1 Strukturanalyse
Datenobjekt System Kommunikationsverbindung
K9
D4 S2 K9
D5 S2, S3, S4 K5
K6
K7
K9
D6 S2 K9
Tabelle 4: Informationsfluss der Datenobjekte
14 Bundesamt für Sicherheit in der InformationstechnikA.2 Schutzbedarfsanalyse
A.2 Schutzbedarfsanalyse
A.2.1 Überblick
Die Schutzbedarfsanalyse umfasst folgende Schritte:
1. Definition der Schutzbedarfskategorien und Sicherheitsziele (siehe Abschnitt A.2.2)
2. Fachliche Schutzbedarfsanalyse (siehe Abschnitt A.2.3 und [BSI-TR03138-R])
3. Schutzbedarf der Datenobjekte (siehe Abschnitt A.2.4)
4. Schutzbedarf der IT-Systeme und Anwendungen (siehe Abschnitt A.2.5)
5. Schutzbedarf der Kommunikationsverbindungen (siehe Abschnitt A.2.6)
A.2.2 Definition der Schutzbedarfskategorien und Sicherheitsziele
In diesem ersten Schritt werden die Schutzbedarfskategorien sowie die wesentlichen Sicherheitsziele
definiert. Angelehnt an [BSI-200-2] (Abschnitt 8.2.1), werden im vorliegenden Dokument die
Schutzbedarfskategorien „normal“, „hoch“ und „sehr hoch“ wie folgt definiert:
Schutzbedarfskategorie Definition
„normal“ Die Schadensauswirkungen sind in der Regel begrenzt und überschaubar.
Ein solcher Schaden induziert im Regelfall keine nennenswerten
Konsequenzen für die am Geschäftsvorfall beteiligten Personen und
Institutionen.
„hoch“ Die Schadensauswirkungen sind in der Regel beträchtlich.
Ein solcher Schaden führt im Regelfall zu beträchtlichen Konsequenzen für
die am Geschäftsvorfall beteiligten Personen und Institutionen.
„sehr hoch“ Die Schadensauswirkungen können ein existenziell bedrohliches oder sogar
katastrophales Ausmaß erreichen.
Ein solcher Schaden kann zu existenziell bedrohlichen oder sogar
katastrophalen Konsequenzen für die am Geschäftsvorfall beteiligten
Personen und Institutionen führen.
Tabelle 5: Definition der Schutzbedarfskategorien
Da es von den konkreten Gegebenheiten eines Geschäftsvorfalles abhängt, welche Konsequenzen „nicht
nennenswert“, „beträchtlich“, „existentiell bedrohlich“ oder „katastrophal“ sind, MUSS die fachliche
Schutzbedarfsfeststellung (vgl. Abschnitt A.3.3) vor dem Hintergrund eines konkreten Anwendungsfalls
überprüft und entsprechend angepasst werden.
Die verschiedenen Sicherheitsziele („Integrität“, „Authentizität“, „Vollständigkeit“, „Nachvollziehbarkeit“,
„Verfügbarkeit“, „Lesbarkeit“, „Verkehrsfähigkeit“, „Vertraulichkeit“ und „Löschbarkeit“) sind gestützt auf
[BSI-Glossar], [RoJa08], [RFJW08] , [RoPf03] und [HüKo06] , wie folgt definiert:
Bundesamt für Sicherheit in der Informationstechnik 15A.2 Schutzbedarfsanalyse
GW 13 Sicherheitsziel Definition
Integrität bedeutet, dass die Daten oder Systeme nicht verändert wurden.
Integrität Bei einem wirksamen Integritätsschutz werden zudem zumindest
Veränderungen erkannt.
Unter der Authentizität von Daten 14 versteht man, dass die Quelle der
Authentizität
Daten eindeutig bestimmbar ist.
Integrität Vollständigkeit bedeutet, dass der gegenseitige Bezug mehrerer aufgrund
Vollständigkeit eines inneren Zusammenhangs zusammengehörigen Datenobjekte
sichergestellt ist.
Unter der Nachvollziehbarkeit eines Vorgangs versteht man, dass alle
Nachvollzieh-
wesentlichen Schritte des Vorgangs von einer unabhängigen Stelle
barkeit
nachgezeichnet werden können.
Die Verfügbarkeit von Daten, Diensten, IT-Systemen, IT-Anwendungen
Verfügbarkeit oder IT-Netzen ist vorhanden, wenn diese den Benutzern innerhalb
akzeptabler Wartezeiten in der benötigten Form zur Verfügung stehen.
Lesbarkeit bedeutet, dass die in den Daten enthaltenen Informationen
Verfüg- Lesbarkeit
erkannt werden können. 15
barkeit
Verkehrsfähigkeit bezeichnet die Möglichkeit, Dokumente und Akten von
Verkehrsfähig- einem System zu einem anderen übertragen zu können, bei der die
keit „Qualität“ des Dokuments sowie seine Integrität und Authentizität
nachweisbar bleiben. 16
Vertraulichkeit Vertraulichkeit ist die Verhinderung einer unbefugten Kenntnisnahme.
Unter Löschen von Daten ist das Unkenntlichmachen der gespeicherten
Vertrau- Daten zu verstehen. Dies ist gegeben, wenn die Daten unwiderruflich so
lichkeit behandelt worden sind, dass eigene Informationen nicht aus
Löschbarkeit
gespeicherten Daten gewonnen werden können, wenn also der Rückgriff
auf diese Daten nicht mehr möglich ist [ScWi12, § 3 Rn. 75], [Dammann in
Simi11, § 3 Rn. 180].
Tabelle 6: Definition der Sicherheitsziele
Abgesehen von der Nachvollziehbarkeit, die für Vorgänge definiert ist, beziehen sich alle anderen
Sicherheitsziele insbesondere auf Datenobjekte und werden deshalb in der „fachlichen
Schutzbedarfsanalyse“ für das Original (vgl. Abschnitt A.2.3 und [BSI-TR03138-R]) und der daraus
abgeleiteten Schutzbedarfsanalyse für die weiteren Datenobjekte (Abschnitt A.2.4) betrachtet. Auf der
13
Grundwert der IT-Sicherheit (siehe z. B. [BSI-Glossar] und [BSI-200-2])
14
Im Rahmen der vorliegenden Technischen Richtlinie werden insbesondere die in Tabelle 1 aufgeführten
Datenobjekte D0 bis D6 betrachtet. Hierbei muss genau betrachtet werden, welches Datenobjekt von
einer bestimmten Sicherheitsmaßnahme genau berührt wird. Beispielsweise könnte zwar die Integrität
und Authentizität des Transfervermerks (D4) durch den Einsatz einer vom Scan-Operator erstellten
qualifizierten elektronischen Signatur geschützt werden, aber die Integrität und Authentizität des
papiergebundenen Originals (D0 oder D1) wäre von dieser Maßnahme völlig unberührt.
15
Ein elektronisches Dokument ist nur dann lesbar, wenn die notwendige Hard- und Software die Daten
verarbeiten, ihre Informationen interpretieren und dem menschlichen Betrachter in lesbarer Weise
präsentieren kann.
16
Es sei angemerkt, dass die Verkehrsfähigkeit von kryptographisch gesicherten Daten nur bei
Verwendung von allgemein anerkannten (z. B. internationalen) Standards (siehe [BSI-TR03125] ) und
interoperablen Systemen gewährleistet werden kann.
16 Bundesamt für Sicherheit in der InformationstechnikA.2 Schutzbedarfsanalyse
anderen Seite sind für Systeme, Anwendungen und Kommunikationsbeziehungen im Einklang mit der IT-
Grundschutz-Vorgehensweise des BSI [BSI-200-2] lediglich die Sicherheitsziele bzw. Grundwerte Integrität,
Verfügbarkeit und Vertraulichkeit definiert. Deshalb werden ab Abschnitt A.2.5 lediglich diese Grundwerte
der IT-Sicherheit herangezogen.
A.2.3 Fachliche Schutzbedarfsanalyse
Der Schutzbedarf der verschiedenen in Tabelle 1 aufgeführten Datenobjekte hängt maßgeblich vom
Schutzbedarf des Originals (D0 bzw. D1) ab. Dieser fachliche Schutzbedarf kann naturgemäß nicht pauschal
angegeben werden. Vielmehr MUSS dieser von jedem Anwender der TR vor dem ersetzenden Scannen
anhand der konkret verarbeiteten Dokumente individuell bestimmt werden.
Um diesen Prozess zu unterstützen, finden sich in [BSI-TR03138-R] einige beispielhafte fachliche
Schutzbedarfsanalysen für ausgewählte Dokumenttypen, die zur Orientierung dienen können.
A.2.4 Schutzbedarf der Datenobjekte
Der Schutzbedarf der verschiedenen Datenobjekte leitet sich Großteils aus dem Schutzbedarf des Originals
ab, welcher im Rahmen der fachlichen Schutzbedarfsanalyse bestimmt werden MUSS (vgl. Abschnitt A.2.3
und [BSI-TR03138-R]).
A.2.4.1 Schutzbedarf des Originals
ID Datenobjekt
Sicherheitsziel Schutzbedarf Begründung
D0 Eingegangenes und scanrelevantes Original
und Integrität normal bis hoch Der Schutzbedarf des eingegangenen (D0) oder
D1 scanrelevanten Originals (D1) hinsichtlich der
Authentizität verschiedenen Schutzziele ist abhängig von der Art
des Dokumentes.
Vollständigkeit Dieser Schutzbedarf MUSS im Rahmen der
fachlichen Schutzbedarfsanalyse bestimmt werden.
Exemplarische Schutzbedarfsanalysen finden sich
Nachvollziehbarkeit
in Anwendungshinweis [BSI-TR03138-R].
Verfügbarkeit
Lesbarkeit
Verkehrsfähigkeit
Vertraulichkeit
Löschbarkeit
Tabelle 7: Schutzbedarfsanalyse des eingegangenen (D0) und scanrelevanten Originals (D1)
Bundesamt für Sicherheit in der Informationstechnik 17A.2 Schutzbedarfsanalyse
A.2.4.2 Schutzbedarf des Scanproduktes
ID Datenobjekt
Sicherheitsziel Schutzbedarf Begründung
D2 Scanprodukt
Integrität wie D1 Mit dem Vernichten oder der Rückgabe 17 des
Originals wird der Schutzbedarf des Scanproduktes
hinsichtlich der Integrität, Verfügbarkeit,
Verfügbarkeit Lesbarkeit und Verkehrsfähigkeit gleich dem
Schutzbedarf des Originals und kann deshalb bis zu
hoch sein.
Lesbarkeit
Verkehrsfähigkeit
Authentizität mindestens so hoch Beim Scannen und Vernichten des Originals
wie D1 werden die Möglichkeiten die Authentizität des
Originals durch Schriftsachverständige
nachzuweisen teilweise 18 beschnitten.
Nachvollziehbarkeit Um diesen Verlust, soweit dies möglich ist, zu
kompensieren, muss der Transformationsvorgang
entsprechend nachvollziehbar gestaltet werden.
Vollständigkeit wie D1 Der Schutzbedarf für die Vollständigkeit,
Vertraulichkeit und Löschbarkeit des
Vertraulichkeit Scanproduktes ist gleich dem im Rahmen der
fachlichen Schutzbedarfsanalyse (vgl. Abschnitt
A.2.3 und [BSI-TR03138-R]) zu bestimmenden
Löschbarkeit 19
Schutzbedarf für das Original (D1).
Tabelle 8: Schutzbedarfsanalyse des Scanproduktes (D2)
17
Bei Rückgabe des Originals bleibt das Original zwar erhalten und könnte zu Beweiszwecken
herangezogen werden, wodurch der Schutzbedarf des Scanproduktes lediglich mit „normal“ eingestuft
werden würde. Da das zurückgegebene Original aber der aktenführenden Stelle im Streitfall unter
Umständen nicht mehr zur Verfügung steht, führt eine konservative Abschätzung zum Ergebnis, dass
auch durch das Zurückgeben des Originals der Schutzbedarf des Scanproduktes gleich dem
Schutzbedarf des Originals wird.
18
Während die Auswertung des Schriftzugs einer Unterschrift unter Umständen auch anhand einer Kopie
möglich ist, können die physikalischen Merkmale des papiergebundenen Originals oder der Tinte nach
der Vernichtung des Originals nicht mehr analysiert werden.
19
Der Vorgang des Löschens muss in geeigneter Weise protokolliert werden und statt dem Scanprodukt
ist während der vorgesehenen Aufbewahrungsdauer das Löschprotokoll aufzubewahren. Der
Schutzbedarf des hierbei entstehenden Löschprotokolls hat in der Regel den gleichen Schutzbedarf wie
das Scanprodukt.
18 Bundesamt für Sicherheit in der InformationstechnikA.2 Schutzbedarfsanalyse
A.2.4.3 Schutzbedarf der Index- und Metadaten
ID Datenobjekt
Sicherheitsziel Schutzbedarf Begründung
D3 Index- und Metadaten
Integrität normal bis hoch Der Schutzbedarf der Index- und Metadaten ist
abhängig von Art und Umfang derselben und kann
Authentizität deshalb „normal“ oder „hoch“ sein.
Sofern Metadaten nur als administrative
Vollständigkeit Begleitobjekte dienen, haben diese nur einen
normalen Schutzbedarf.
Nachvollziehbarkeit Auf der anderen Seite ist für Index- und Metadaten
ein hoher Schutzbedarf hinsichtlich der Integrität,
Authentizität, Vollständigkeit, Nachvollziehbarkeit,
Verfügbarkeit
Lesbarkeit und Verkehrsfähigkeit anzunehmen,
wenn die Index- und Metadaten selbst
Lesbarkeit
Beweisgegenstand werden können.
Eine Beeinträchtigung der Integrität,
Verkehrsfähigkeit
Vollständigkeit, Verfügbarkeit und Lesbarkeit der
Index- und Metadaten kann sich auch negativ auf
Vertraulichkeit die faktische Verfügbarkeit der Nutzdaten
auswirken. Außerdem könnten Index- und
Löschbarkeit Metadaten für das Rechtemanagement genutzt
werden. So kann eine Veränderung der Daten zu
einer Veränderung des Personenkreises führen, der
zum Zugriff berechtigt ist. Damit kann Unbefugten
der Zugriff ermöglicht werden.
Die Vertraulichkeit und Löschbarkeit der Index-
und Metadaten hängt stark von Art und Umfang
derselben ab. Enthalten die Index- und Metadaten
alle per OCR aus dem Scanprodukt extrahierbaren
Inhalte, so ist der Schutzbedarf hinsichtlich der
Vertraulichkeit und Löschbarkeit gleich dem des
Scanproduktes bzw. des Originals.
Tabelle 9: Schutzbedarfsanalyse der Index- und Metadaten (D3)
A.2.4.4 Schutzbedarf des Transfervermerkes
ID Datenobjekt
Sicherheitsziel Schutzbedarf Begründung
D4 Transfervermerk
Integrität Maximum Der Transfervermerk dient der ordnungsgemäßen
(Authentizität von und nachvollziehbaren Dokumentation des
Authentizität D2, Transformationsvorgangs.
Nachvollziehbarkeit Mit dem Vernichten oder der Rückgabe des
Vollständigkeit von D2) Originals wird der Schutzbedarf des
Bundesamt für Sicherheit in der Informationstechnik 19A.2 Schutzbedarfsanalyse
ID Datenobjekt
Sicherheitsziel Schutzbedarf Begründung
Nachvollziehbarkeit Transfervermerkes hinsichtlich der angegebenen
Sicherheitsziele gleich dem Schutzbedarf des
Scanproduktes (D2) hinsichtlich der Authentizität
bzw. der Nachvollziehbarkeit.
Verfügbarkeit wie D1 Mit dem Vernichten oder der Rückgabe des
Originals wird der Schutzbedarf des
Lesbarkeit Transfervermerks hinsichtlich der angegebenen
Sicherheitsziele gleich dem Schutzbedarf des
Verkehrsfähigkeit Originals (D1).
Löschbarkeit
Vertraulichkeit normal bis hoch Der Transfervermerk enthält im Regelfall den
Namen des Erstellers und damit personenbezogene
Daten, die grundsätzlich schützenswert sind.
Für einen einzelnen Transfervermerk ist der
Schutzbedarf hinsichtlich der Vertraulichkeit im
Regelfall nur normal. Liegen jedoch mehrere
Transfervermerke vor, so besteht die Möglichkeit
mit Hilfe der personenbezogenen Daten
Nutzerprofile zu erstellen. Dieser
Kumulationseffekt kann unter Umständen dazu
führen, dass der Schutzbedarf hinsichtlich der
Vertraulichkeit auf hoch steigt.
Tabelle 10: Schutzbedarfsanalyse des Transfervermerkes (D4)
A.2.4.5 Schutzbedarf der Sicherungsdaten
ID Datenobjekt
Sicherheitsziel Schutzbedarf Begründung
D5 Sicherungsdaten
Integrität höchstens wie Der Schutzbedarf für die Sicherungsdaten
geschützte hinsichtlich der angegebenen Sicherheitsziele ist
Authentizität Datenobjekte höchstens so hoch wie der Schutzbedarf der davon
geschützten Datenobjekte. Sie ist genau so hoch,
Vollständigkeit wenn die Beeinträchtigung des Sicherheitszieles der
Sicherungsdaten auch das Sicherheitsziel für das
Nachvollziehbarkeit geschützte Datenobjekt beeinträchtigt.
Sicherungsdaten, welche das Scanprodukt D2
schützen, haben also den entsprechenden
Verfügbarkeit
Schutzbedarf des Scanproduktes D2 selbst. Wie
oben erläutert, ist dieser Schutzbedarf nach dem
Lesbarkeit
Vernichten des Originals gleich dem Schutzbedarf
des Originals D1 selbst.
Verkehrsfähigkeit
20 Bundesamt für Sicherheit in der InformationstechnikA.2 Schutzbedarfsanalyse
ID Datenobjekt
Sicherheitsziel Schutzbedarf Begründung
Vertraulichkeit normal bis hoch Sicherungsdaten können personenbezogene Daten
(z. B. in einem Zertifikat) enthalten, die
entsprechend zu schützen sind.
Für ein einzelnes Sicherungsdatum ist der
Schutzbedarf hinsichtlich der Vertraulichkeit im
Regelfall nur normal. Liegen jedoch mehrere
gleichartige Sicherungsdaten vor, so besteht die
potenzielle Möglichkeit mit Hilfe der
personenbezogenen Daten Nutzerprofile zu
erstellen. Dieser Kumulationseffekt kann unter
Umständen dazu führen, dass der Schutzbedarf
hinsichtlich der Vertraulichkeit auf hoch steigt.
Löschbarkeit höchstens wie D1 Der Schutzbedarf hinsichtlich der Löschbarkeit für
die Sicherungsdaten ist im Regelfall höchstens so
hoch wie der Schutzbedarf des Originals (D1).
Tabelle 11: Schutzbedarfsanalyse der Sicherungsdaten (D5)
A.2.4.6 Schutzbedarf der Protokolldaten
ID Datenobjekt
Sicherheitsziel Schutzbedarf Begründung
D6 Protokolldaten
Integrität Maximum Mit dem Vernichten oder der Rückgabe des
(Authentizität von Originals wird der Schutzbedarf der Protokolldaten
Authentizität D2, hinsichtlich der angegebenen Sicherheitsziele
Nachvollziehbarkeit gleich dem Schutzbedarf des Scanproduktes (D2)
Vollständigkeit von D2) hinsichtlich der Authentizität bzw. der
Nachvollziehbarkeit, da die Protokolldaten der
Nachvollziehbarkeit ordnungsgemäßen Dokumentation des
Transformationsvorganges dienen.
Verfügbarkeit
Lesbarkeit
Verkehrsfähigkeit
Vertraulichkeit höchstens wie D1 Der Schutzbedarf hinsichtlich der Vertraulichkeit
und der Löschbarkeit für die Protokolldaten muss
Löschbarkeit je nach Art und Umfang bewertet werden und ist
im Regelfall höchstens so hoch wie der
Schutzbedarf des Originals (D1).
Tabelle 12: Schutzbedarfsanalyse der Protokolldaten (D6)
Bundesamt für Sicherheit in der Informationstechnik 21A.2 Schutzbedarfsanalyse
A.2.5 Schutzbedarf der IT-Systeme und Anwendungen
ID IT-Systeme und Anwendungen
Grundwert Schutzbedarf Begründung
{S,A}x IT-System bzw. Anwendung
Vertraulichkeit wie Dx Der Schutzbedarf eines IT-Systems oder einer darauf
laufenden Anwendung hinsichtlich der
Vertraulichkeit, Integrität oder Verfügbarkeit ist so
Integrität
hoch wie der Schutzbedarf der darin verarbeiteten
Verfügbarkeit Datenobjekte (Dx).
Tabelle 13: Exemplarische Schutzbedarfsanalyse der IT-Systeme und Anwendungen
A.2.6 Schutzbedarf der Kommunikationsverbindungen
ID Kommunikationsverbindung
Grundwert Schutzbedarf Begründung
Kx Kommunikationsverbindung
Vertraulichkeit wie Dx Der Schutzbedarf einer
Kommunikationsverbindung hinsichtlich der
Vertraulichkeit oder Integrität ist so hoch wie der
Integrität Schutzbedarf der darüber übermittelten
Datenobjekte (Dx).
Verfügbarkeit Maximum (SBVf(S), Der Schutzbedarf für die Verfügbarkeit einer
SBVf(E)) Kommunikationsverbindung ist gegeben als das
Maximum des Schutzbedarfs hinsichtlich der
Verfügbarkeit des Start- (S) und Endpunktes (E) der
Kommunikationsverbindung.
Tabelle 14: Schutzbedarfsanalyse der Kommunikationsverbindungen
22 Bundesamt für Sicherheit in der InformationstechnikA.3 Bedrohungsanalyse
A.3 Bedrohungsanalyse
Im Rahmen der Bedrohungsanalyse werden die verschiedenen Bedrohungen und potenziellen
Schwachstellen für die Abläufe im „generischen Scanprozess“ (siehe Abbildung 1 im Hauptdokument)
erfasst.
Im Folgenden werden benutzerdefinierte Gefährdungen und Maßnahmen mit BG. x bzw. BM. x und im
Grundschutzhandbuch spezifizierte Gefährdungen und Maßnahmen mit G. x bzw. M. x bezeichnet.
A.3.1 Gefährdungen in der Dokumentenvorbereitung
ID Gefährdung
Bedrohte Beschreibung
Objekte
BG 1.1 Manipulation oder Fälschung des Originals
D1 Das Original könnte (z. B. mit Tipp-Ex) vor der Erfassung 20 manipuliert worden
sein oder das Original könnte komplett gefälscht worden sein.
BG 1.2 Austausch des Originals
D1 Das Original könnte versehentlich oder absichtlich vor der Erfassung gegen ein
anderes Dokument ausgetauscht worden sein. Diese Bedrohung existiert auch vor
dem Eingang des Dokuments zum Zeitpunkt P0 oder während des Scannens.
BG 1.3 Manipulation am Umfang des Originals
D1 Dem Original könnten versehentlich oder absichtlich vor der Erfassung Seiten
hinzugefügt oder entfernt worden sein. Diese Bedrohung existiert auch während
des Scannens (vgl. BG 2.1).
BG 1.4 Versehentlich umgedrehte Blätter in Scan-Stapel
D1 Es könnten sich versehentlich oder absichtlich umgedrehte Blätter im Scan-Stapel
befinden. Hierdurch würde, sofern nur einseitig gescannt wird, das Original nur
unvollständig erfasst werden.
BG 1.5 Unautorisiertes Vernichten oder unautorisierte Rückgabe des Originals
D1 Das Original könnte versehentlich oder absichtlich zu früh - insbesondere vor
Abschluss der Qualitätssicherung des Scanprodukts - vernichtet oder
zurückgegeben worden sein.
BG 1.6 Unautorisierte Einsicht in vertrauliche Unterlagen
D1 Eine Person könnte bei der Dokumentenvorbereitung unautorisierte Einsicht in
vertrauliche Unterlagen erhalten. Diese Bedrohung existiert auch während des
Scannens.
BG 1.7 Vertauschte Reihenfolge der Seiten des Originals
D1 Während der Dokumentenvorbereitung könnte die Reihenfolge der Seiten des
Originals vertauscht werden (z. B. beim Zusammenstellen nach Herunterfallen).
BG 1.8 Unsachgemäße Veränderung des Formates des Originals
20 Diese Manipulation oder Fälschung könnte auch vor dem Eingang des Dokuments, z. B. durch den
Absender, vorgenommen worden sein.
Bundesamt für Sicherheit in der Informationstechnik 23A.3 Bedrohungsanalyse
ID Gefährdung
Bedrohte Beschreibung
Objekte
D1 Durch Zerschneiden eines überformatigen Originaldokumentes könnten die
Inhalte nicht mehr im Zusammenhang lesbar sein oder die Zuordnung zu einem
Vorgang könnte dadurch nicht mehr zweifelsfrei gewährleistet werden.
Tabelle 15: Gefährdungen in der Dokumentenvorbereitung
A.3.2 Gefährdungen beim Scannen
ID Gefährdung
Bedrohte Beschreibung
Objekte
BG 2.1 Unvollständige Erfassung des Originals
D1, S1 Der Scanner (S1) könnte beim Einzug eines mehrseitigen Originals (D1) mehrere
Seiten gleichzeitig eingezogen haben. Somit würde das Original nur unvollständig
erfasst werden.
D1, S1 Beim Einzug könnten Seiten des Originals z. B. durch Heftklammern beim Einzug
beschädigt (geknickt, angerissen, …) werden. Somit würde das Original nur
unvollständig erfasst werden.
D1, S1 Explizit beschriebene Rückseiten könnten versehentlich oder absichtlich nicht
erfasst werden.
D1, S1 Endlospapier könnte nicht oder nicht geeignet vorbereitet worden sein.
BG 2.2 Manipulation des Scanners
D2, S1 Der Scanner (S1) könnte (z. B. mit einer veränderten Firmware) manipuliert
worden sein. Integrität, Vertraulichkeit oder Verfügbarkeit des Scanproduktes (D2)
könnte beeinträchtigt sein.
BG 2.3 Manipulation der Scan-Workstation (S2)
D1, D2, Die Scan-Workstation (S2) könnte manipuliert worden sein. Diese Manipulation
S2 könnte auf folgenden Wegen geschehen sein:
- Angriffe über das Netzwerk,
- Einspielen von Malware (z. B. nicht authentische Scan-Software oder
Integritätssicherungs-Software) oder
- lokaler Zugriff
BG 2.4 Manipulation des Scanproduktes
D2, K2 Verändern von D2 bei der Datenübertragung vom Scanner (S1) zum Scan-Cache
(S3)
D2, K1 Verändern von D2 bei der Datenübertragung vom Scanner (S1) zur Scan-Software
(A2)
D2, K3 Verändern von D2 bei der Datenübertragung von der Scan-SW (A2) zum Scan-
Cache (S3)
D2, S3 Verändern von D2 im Scan-Cache (S3)
24 Bundesamt für Sicherheit in der InformationstechnikA.3 Bedrohungsanalyse
ID Gefährdung
Bedrohte Beschreibung
Objekte
BG 2.5 Unautorisierte Einsicht in vertrauliche Unterlagen
D1 Unautorisierte Personen könnten Einsicht in das Original (D1) oder das
Scanprodukt (D2) erhalten, wenn dieses nach einem Scanvorgang im Scanner
vergessen wurde bzw. in einer Phase des Scanprozesses nicht adäquat geschützt
wird. Dieser Aspekt ist insbesondere bei Dokumenten relevant, die
personenbezogene Daten enthalten oder dem Geheimnisschutz unterliegen.
D2 Personen mit Zugriff auf die Scan-Systeme könnten unautorisiert Einsicht in
vertrauliche Scanprodukte (D2) erhalten.
BG 2.6 Mangelnde oder ungeeignete Scan-Qualität
D2 Durch mangelnde oder ungeeignete Scan-Qualität wie z. B.
Fehlfunktion der Scanneroptik,
fehlerhafte Konfiguration der Scanner-Optik,
zu gering gewählte Auflösung,
schwarz-weiß Scannen von farbigen Dokumente, sofern der Farbinformation eine
Bedeutung zukommt, oder
Verschmutzung des Scanners
Scannen von Durchlichtdokumenten (z. B. Röntgenbilder) mit ungeeigneter
Hardware
könnte die Vollständigkeit und Lesbarkeit eines Scanproduktes nur teilweise oder
gar nicht gegeben sein.
BG 2.7 Abhören von Scanprodukten durch Belauschen einer Kommunikationsverbindung
D2, K1 Abhören der Datenübertragung von D2 vom Scanner (S1) zur Scan-Software (A2)
D2, K2 Abhören der Datenübertragung von D2 vom Scanner (S1) zum Scan-Cache (S3)
D2, K3 Abhören der Datenübertragung von D2 von der Scan-SW (A2) zum Scan-Cache
(S3)
BG 2.8 Einspielen von Scanprodukten
D2, S3 Einspielen eines nicht authentischen D2 in den Scan-Cache (S3)
BG 2.9 Vortäuschen einer Identität
S3, K3 Vortäuschen eines authentischen Scan-Cache (S3) über K3
S1, K1 Vortäuschen eines authentischen Scanners (S1) über K1
BG 2.10 Auslesen eines zur Entsorgung bestimmten Betriebsmittels
S1, S2, S3, Durch Auslesen eines zur Entsorgung bestimmten Betriebsmittels (z. B. Festplatte)
D2 von S1, S2 oder S3 könnte die Vertraulichkeit von D2 nicht mehr gegeben sein.
Tabelle 16: Gefährdungen beim Scannen
Bundesamt für Sicherheit in der Informationstechnik 25Sie können auch lesen
